Mówię na konferencji w przyszłym tygodniu o niektórych narzędziach programowych, które stworzyłem. Podczas tej prezentacji mój laptop będzie wyświetlany na ekranie projektora. Prezentacja zostanie nagrana na wideo i opublikowana na youtube. Jeśli z jakiegoś powodu mam okazję otworzyć i edytować ~/.ssh/known_hostsplik podczas tej prezentacji, czy powinienem w tym czasie odłączyć projektor? Czy istnieje ryzyko związane z bezpieczeństwem ujawnienia mojego pliku znane_hosty?
ssh
ssh-keys
known-hosts
Matt Korostoff
źródło
źródło
known_hostsna fałszywy podczas prezentacji?ssh -oUserKnownHostsFile=/dev/null -oStrictHostKeyChecking=no user@hostaby ominąć pytanie o odcisk palca i uniknąć sprawdzania istniejących hostów.Odpowiedzi:
Plik znane_hosty zawiera zaufane klucze publiczne dla hostów, z którymi łączyłeś się w przeszłości. Te klucze publiczne można uzyskać po prostu próbując połączyć się z tymi hostami. Dlatego samo w sobie nie stanowi zagrożenia bezpieczeństwa.
Ale: Zawiera historię hostów, z którymi jesteś podłączony. Informacje mogą zostać wykorzystane przez potencjalnego napastnika na przykład w infrastrukturze organizacji zajmującej powierzchnię. Informuje również potencjalnych atakujących, że prawdopodobnie masz dostęp do niektórych hostów i że kradzież laptopa da im również dostęp.
Edycja: Aby uniknąć wyświetlania pliku znanych_hostów, zalecamy skorzystanie z
ssh-keygennarzędzia.ssh-keygen -R ssh1.example.orgna przykład usuwa zaufane kluczessh1.example.orgz twoich znanych hostów.źródło
Nie ma w tym nic szczególnie niebezpiecznego. Jednak możesz nie chcieć ujawnić tych informacji identyfikujących. Czasami istnienie gospodarzy ujawnia dobre linie ataku dla skłonnych. Możesz skorzystać z
HashKnownHostspliku lub edytować plik bez patrzenia na niego.Ślepa edycja:
sed -i 25d .ssh/known_hostsusunie wiersz 25 bez umieszczania zawartości na ekranie.źródło
ssh-keygen -R example.com.ssh-keygen -H -f ~/.ssh/known_hostsdo haszowania wszystkich nazw / adresów w pliku.